Compartilhar via


Guia de operações de segurança do Microsoft Entra para aplicativos

Os aplicativos têm uma superfície de ataque para violações de segurança e devem ser monitorados. Embora não sejam tão visados quanto as contas de usuários, isso pode ocorrer. Como os aplicativos geralmente são executados sem intervenção humana, os ataques podem ser mais difíceis de detectar.

Este artigo mostra diretrizes para monitorar e alertar sobre eventos do aplicativo. Ele é atualizado regularmente para ajudar a garantir que você:

  • Impeça que aplicativos mal-intencionados tenham acesso indevido aos dados

  • Impeça que os aplicativos sejam comprometidos por atores mal-intencionados

  • Reúna insights que permitem criar e configurar novos aplicativos com mais segurança

Se você não estiver familiarizado com o funcionamento dos aplicativos no Microsoft Entra ID, confira Aplicativos e entidades de serviço no Microsoft Entra ID.

Observação

Se você ainda não tiver revisado a Visão geral de operações de segurança do Microsoft Entra, faça isso agora.

O que procurar

Ao monitorar os logs do aplicativo quanto a incidentes de segurança, confira a lista a seguir para ajudar a diferenciar a atividade normal de atividades mal-intencionadas. Os eventos a seguir podem indicar preocupações de segurança. Cada um é abordado no artigo.

  • Todas as alterações que ocorrem fora dos processos e agendamentos de negócios normais

  • Alterações nas credenciais do aplicativo

  • Permissões de aplicativo

    • Entidade de serviço atribuída a uma função RBAC (controle de acesso baseado em função) do Azure ou do Microsoft Entra ID

    • Aplicativos que recebem permissões altamente privilegiadas

    • Alterações no Azure Key Vault

    • Usuário final dando consentimento a aplicativos

    • Interrupção do consentimento do usuário final com base no nível de risco

  • Alterações na configuração do aplicativo

    • URI (identificador de recurso universal) alterado ou não padrão

    • Alterações nos proprietários do aplicativo

    • URLs de logoff modificadas

Onde procurar

Os arquivos de log que você usa para investigação e monitoramento são:

No portal do Azure, é possível exibir os logs de auditoria do Microsoft Entra e baixá-los como arquivos CSV (valores separados por vírgula) ou JSON (JavaScript Object Notation). O portal do Azure oferece diversas formas de integrar os logs do Microsoft Entra a outras ferramentas, que permitem maior automação da geração de alertas e do monitoramento:

  • Microsoft Sentinel – Permite a análise de segurança inteligente no nível empresarial com recursos de SIEM (gerenciamento de eventos e informações de segurança).

  • Regras Sigma – Sigma é um padrão aberto em evolução para gravar regras e modelos que as ferramentas de gerenciamento automatizadas poderão usar para analisar arquivos de log. Sempre que há modelos Sigma para nossos critérios de pesquisa recomendados, adicionamos um link no repositório Sigma. Os modelos Sigma não são gravados, testados e gerenciados pela Microsoft. Em vez disso, o repositório e os modelos são criados e coletados pela comunidade mundial de segurança de TI.

  • Azure Monitor – Monitoramento e alertas automatizados de várias condições. Pode criar ou usar pastas de trabalho para combinar dados de fontes diferentes.

  • Hubs de Eventos do Azure integrado com um SIEM- Os logs do Microsoft Entra podem ser integrados a outros SIEMs, como Splunk, ArcSight, QRadar e Sumo Logic pela integração do Hubs de Eventos do Azure.

  • Microsoft Defender para Aplicativos de Nuvem – Descubra e gerencie aplicativos, administre todos os aplicativos e recursos e verifique a conformidade dos seus aplicativos de nuvem.

  • Proteger identidades de carga de trabalho com o Microsoft Entra ID Protection − Detecta riscos em identidades de carga de trabalho no comportamento de entrada e nos indicadores de comprometimento offline.

Grande parte do que você monitora e alerta é um efeito de suas políticas de Acesso Condicional. Você pode usar a pasta de trabalho de insights e relatórios de Acesso Condicional para examinar os efeitos de uma ou mais políticas de Acesso Condicional em suas conexões, bem como os resultados das políticas, incluindo o estado do dispositivo. Use a pasta de trabalho para exibir um resumo e identificar os efeitos durante um período. Você pode usar a pasta de trabalho para investigar as entradas de um usuário específico.

O restante deste artigo fala sobre o que recomendamos que você monitore e alerte. Ele está organizado pelo tipo de ameaça. Onde há soluções predefinidas, vinculamos a elas ou fornecemos exemplos após a tabela. Caso contrário, você pode criar alertas usando as ferramentas anteriores.

Credenciais do aplicativo

Muitos aplicativos usam credenciais para a autenticação no Microsoft Entra ID. Qualquer outra credencial adicionada fora dos processos esperados pode estar sendo usada por um ator mal-intencionado. É recomendável usar certificados X509 emitidos por autoridades confiáveis ou Identidades Gerenciadas em vez de usar segredos do cliente. No entanto, se você precisar usar segredos do cliente, siga as boas práticas de limpeza para manter os aplicativos seguros. Observe que as atualizações de aplicativo e entidade de serviço são registradas como duas entradas no log de auditoria.

  • Monitore aplicativos para identificar tempos longos de expiração de credenciais.

  • Substitua as credenciais de longa duração por um período de vida curto. Verifique se as credenciais não são comprometidas nos repositórios de código e se estão armazenadas em segurança.

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Credenciais adicionadas a aplicativos existentes Alto Logs de auditoria do Microsoft Entra Diretório Service-Core, Category-ApplicationManagement
Atividade: atualização de certificados de aplicativo e gerenciamento de segredos
-e-
Atividade: atualização da entidade de serviço/atualização do aplicativo
Alertará quando as credenciais forem: adicionadas fora do horário comercial ou dos fluxos de trabalho normais, de tipos não usados no ambiente ou adicionadas a um fluxo não SAML que dá suporte à entidade de serviço.
Modelo do Microsoft Sentinel

Regras Sigma
Credenciais com um tempo de vida maior do que suas políticas permitem. Médio Microsoft Graph Estado e data de término das credenciais da Chave do Aplicativo
-e-
Credenciais de senha do aplicativo
Você pode usar a API do MS Graph para encontrar a data de início e de término das credenciais e avaliar tempos de vida maiores do que o permitido. Siga esta tabela para conferir o script do PowerShell.

Os seguintes alertas e monitoramento pré-criados estão disponíveis:

Permissões de aplicativo

Como uma conta de administrador, os aplicativos podem receber funções privilegiadas. Os aplicativos podem receber quaisquer funções do Microsoft Entra, como Administrador de Usuário ou funções RBAC do Azure, como Leitor de Cobrança. Como eles podem ser executados sem usuário e como um serviço em segundo plano, monitore de perto quando um aplicativo receber uma função ou permissão com privilégios.

Entidade de serviço atribuída a uma função

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Aplicativo atribuído a uma função RBAC do Azure ou a uma função do Microsoft Entra Alto a médio Logs de auditoria do Microsoft Entra Tipo: entidade de serviço
Atividade: "Adicionar membro à função" ou "Adicionar membro qualificado à função"
-ou-
"Adicionar membro no escopo à função."
Para funções altamente privilegiadas, o risco é alto. Para funções com privilégios menores, o risco é médio. Gere alertas sempre que um aplicativo for atribuído a uma função do Azure ou do Microsoft Entra fora dos procedimentos normais de gerenciamento de alterações ou configuração.
Modelo do Microsoft Sentinel

Regras Sigma

Aplicativos que têm permissões altamente privilegiadas

Os aplicativos devem seguir o princípio do privilégio mínimo. Investigue as permissões do aplicativo para verificar se elas são necessárias. Você pode criar um relatório de concessão de consentimento do aplicativo para ajudar a identificar aplicativos e realçar permissões com privilégios.

O que monitorar Nível de risco Where Filtro/subfiltro Observações
O aplicativo concedeu permissões altamente privilegiadas, como permissões com " .All” (Directory.ReadWrite.All) ou permissões abrangentes (Mail. ) Alto Logs de auditoria do Microsoft Entra "Adicionar atribuição de função de aplicativo à entidade de serviço",
- em que-
Os destinos identificam uma API com dados confidenciais (como o Microsoft Graph)
-e-
AppRole.Value identifica uma permissão de aplicativo altamente privilegiada (função de aplicativo).
Os aplicativos concederam permissões amplas, como " .All" (Directory.ReadWrite.All) ou permissões abrangentes (Mail. )
Modelo do Microsoft Sentinel

Regras Sigma
Administrador concede permissões de aplicativo (funções de aplicativo) ou permissões delegadas altamente privilegiadas Alto Portal do Microsoft 365 "Adicionar atribuição de função de aplicativo à entidade de serviço",
-em que-
Os destinos identificam uma API com dados confidenciais (como o Microsoft Graph)
"Adicionar concessão de permissão delegada",
-em que-
Os destinos identificam uma API com dados confidenciais (como o Microsoft Graph)
-e-
DelegatedPermissionGrant.Scope inclui permissões de alto privilégio.
Alertar quando um administrador conceder o consentimento para um aplicativo. Procure, especialmente, o consentimento fora da atividade normal e altere os procedimentos.
Modelo do Microsoft Sentinel
Modelo do Microsoft Sentinel
Modelo do Microsoft Sentinel

Regras Sigma
O aplicativo recebe permissões para o Microsoft Graph, o Exchange, o SharePoint ou o Microsoft Entra ID. Alto Logs de auditoria do Microsoft Entra "Adicionar concessão de permissão delegada"
-ou-
"Adicionar atribuição de função de aplicativo à entidade de serviço",
-em que-
Os destinos identificam uma API com dados confidenciais (como o Microsoft Graph, o Exchange Online etc.)
Alerta como na linha anterior.
Modelo do Microsoft Sentinel

Regras Sigma
Permissões de aplicativo (funções de aplicativo) para outras APIs são concedidas Médio Logs de auditoria do Microsoft Entra "Adicionar atribuição de função de aplicativo à entidade de serviço",
-em que-
Os destinos identificam qualquer outra API.
Alerta como na linha anterior.
Regras Sigma
Permissões delegadas altamente privilegiadas são concedidas em nome de todos os usuários Alto Logs de auditoria do Microsoft Entra "Adicionar concessão de permissão delegada", em que destinos identificam uma API com dados confidenciais (como o Microsoft Graph)
DelegatedPermissionGrant.Scope inclui permissões de alto privilégio
-e-
DelegatedPermissionGrant.ConsentType é "AllPrincipals".
Alerta como na linha anterior.
Modelo do Microsoft Sentinel
Modelo do Microsoft Sentinel
Modelo do Microsoft Sentinel

Regras Sigma

Para saber mais sobre o monitoramento de permissões de aplicativo, confira este tutorial: Investigar e corrigir aplicativos OAuth arriscados.

Cofre de Chave do Azure

Use o Azure Key Vault para armazenar os segredos do seu locatário. É recomendável prestar especial a quaisquer alterações na configuração e nas atividades do Key Vault.

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Como e quando os Key Vaults são acessados e por quem Médio Logs do Azure Key Vault Tipo de recurso: Key Vaults Procurar: qualquer acesso ao Key Vault fora dos processos e dos horários normais, qualquer alteração na ACL do Key Vault.
Modelo do Microsoft Sentinel

Regras Sigma

Depois de configurar o Azure Key Vault, habilite o registro em log. Confira como e quando o seus Key Vaults são acessados, e configurar alertas no Key Vault para notificar usuários atribuídos ou listas de distribuição por email, telefone, mensagem de texto ou notificação da Grade de Eventos, se a integridade for afetada. Além disso, configurar o monitoramento com os insights do Key Vault oferece um instantâneo das solicitações, do desempenho, das falhas e da latência do Key Vault. O Log Analytics também tem algumas consultas de exemplo do Azure Key Vault que podem ser acessadas após a seleção do Key Vault, em "Monitoramento" e "Registro".

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Consentimento do usuário final para aplicativos Baixo Logs de auditoria do Microsoft Entra Atividade: consentimento para aplicativos / ConsentContext.IsAdminConsent = false Procurar: contas de alto perfil ou altamente privilegiadas, aplicativos que solicitam permissões de alto risco, aplicativos com nomes suspeitos; por exemplo, genéricos, com erros de ortografia e assim por diante.
Modelo do Microsoft Sentinel

Regras Sigma

O ato de dar consentimento a um aplicativo, em si, não é mal-intencionado. No entanto, investigue novas concessões de consentimento do usuário final procurando por aplicativos suspeitos. Você pode restringir operações de consentimento do usuário.

Para saber mais sobre as operações de consentimento, confira estes recursos:

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Consentimento do usuário final interrompido devido a um consentimento baseado em risco Médio Logs de auditoria do Microsoft Entra Diretório principal/ApplicationManagement/Consentimento para o aplicativo
Motivo do status de falha = Microsoft.online.Security.userConsent
BlockedForRiskyAppsExceptions
Monitore e analise sempre que o consentimento for interrompido devido a risco. Procurar: contas de alto perfil ou altamente privilegiadas, aplicativos que solicitam permissões de alto risco ou aplicativos com nomes suspeitos; por exemplo, genéricos, com erros de ortografia e assim por diante.
Modelo do Microsoft Sentinel

Regras Sigma

Fluxos de Autenticação de Aplicativo

Há vários fluxos no protocolo OAuth 2.0. O fluxo recomendado para um aplicativo depende do tipo de aplicativo que está sendo criado. Em alguns casos, há uma opção de fluxos disponíveis para o aplicativo. Para esse caso, alguns fluxos de autenticação são recomendados em relação a outros. Especificamente, evite ROPC (credenciais de senha do proprietário do recurso) porque elas exigem que o usuário exponha ao aplicativo as credenciais de senha atuais dele. Então, o aplicativo usa as credenciais para autenticar o usuário em relação ao provedor de identidade. A maioria dos aplicativos deve usar o fluxo de código de autenticação ou fluxo de código de autenticação com PKCE (Proof Key for Code Exchange), pois esse fluxo é recomendado.

O único cenário em que o ROPC é sugerido é para testes automatizados de aplicativos. Consulte Executar testes de integração automatizada para obter mais detalhes.

O fluxo de código do dispositivo é outro fluxo de protocolo OAuth 2.0 para dispositivos com restrição de entrada e não é usado em todos os ambientes. Quando o fluxo de código do dispositivo aparece no ambiente e não é usado em um cenário de dispositivo restrito de entrada. Mais investigações são justificadas para um aplicativo configurado incorretamente ou algo potencialmente mal-intencionado. O fluxo de código de dispositivo também pode ser bloqueado ou permitido no Acesso Condicional. Confira Fluxos de autenticação de acesso condicional para obter detalhes.

Monitore a autenticação do aplicativo usando a seguinte formação:

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Aplicativos que estão usando o fluxo de autenticação ROPC Médio Log de entrada do Microsoft Entra Status=Success

Autenticação Protocol-ROPC
Um alto nível de confiança está sendo colocado nesse aplicativo, pois as credenciais podem ser armazenadas em cache ou repositório. Mova, se possível, para um fluxo de autenticação mais seguro. Isso somente deverá ser usado em testes automatizados de aplicativos, se for o caso. Para obter mais informações, consulte Plataforma de identidade da Microsoft e Credenciais de Senha de Proprietário do Recurso do OAuth 2.0

Regras Sigma
Aplicativos que usam o fluxo de código do dispositivo Baixo a médio Log de entrada do Microsoft Entra Status=Success

Código de Autenticação Protocol-Device
Os fluxos de código de dispositivo são usados para dispositivos com restrição de entrada que podem não estar em todos os ambientes. Se fluxos de código de dispositivo bem-sucedidos aparecerem, sem a necessidade deles, investigue a validade. Para obter mais informações, consulte plataforma de identidade da Microsoft e o fluxo de concessão de autorização de dispositivo OAuth 2.0

Regras Sigma

Alterações na configuração do aplicativo

Monitorar alterações na configuração de aplicativos. Especificamente, as alterações de configuração para o URI (Uniform Resource Identifier), a propriedade e a URL de logoff.

URI pendente e alterações no URI de redirecionamento

O que monitorar Nível de risco Where Filtro/subfiltro Observações
URI pendente Alto Logs e registros de aplicativo do Microsoft Entra Diretório Service-Core, Category-ApplicationManagement
Atividade: atualizar aplicativo
Sucesso – nome da propriedade AppAddress
Por exemplo, procure por URIs pendentes que apontam para um nome de domínio que não existe mais ou para um que não lhe pertença explicitamente.
Modelo do Microsoft Sentinel

Regras Sigma
Alterações na configuração do URI de redirecionamento Alto Logs do Microsoft Entra Diretório Service-Core, Category-ApplicationManagement
Atividade: atualizar aplicativo
Sucesso – nome da propriedade AppAddress
Procure URIs que não usam HTTPS*, URIs com caracteres curingas ao final ou com o domínio da URL, URIs que NÃO são exclusivos do aplicativo, URIs que apontam para um domínio que você não controla.
Modelo do Microsoft Sentinel

Regras Sigma

Alerte sempre que essas alterações forem detectadas.

URI de AppID adicionado, modificado ou removido

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Alterações no URI de AppID Alto Logs do Microsoft Entra Diretório Service-Core, Category-ApplicationManagement
Atividade: atualizar
Aplicativo
Atividade: atualizar entidade de serviço
Procure quaisquer modificações de URI de AppID, como adicionar, modificar ou remover o URI.
Modelo do Microsoft Sentinel

Regras Sigma

Alerte sempre que essas alterações forem detectadas fora dos procedimentos de gerenciamento de alterações aprovados.

Novo proprietário

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Alterações na propriedade do aplicativo Médio Logs do Microsoft Entra Diretório Service-Core, Category-ApplicationManagement
Atividade: adicionar proprietário ao aplicativo
Procure qualquer instância de um usuário sendo adicionado como um proprietário de aplicativo fora das atividades normais de gerenciamento de alterações.
Modelo do Microsoft Sentinel

Regras Sigma

URL de logoff modificada ou removida

O que monitorar Nível de risco Where Filtro/subfiltro Observações
Alterações na URL de logoff Baixo Logs do Microsoft Entra Diretório Service-Core, Category-ApplicationManagement
Atividade: atualizar aplicativo
-e-
Atividade: atualizar entidade de serviço
Pesquise modificações em uma URL de saída. Entradas em branco ou entradas em locais inexistentes impedirão que um usuário encerre uma sessão.
Modelo do Microsoft Sentinel
Regras Sigma

Recursos

Próximas etapas

Visão geral de operações de segurança do Microsoft Entra

Operações de segurança para contas de usuário

Operações de segurança para contas do consumidor

Operações de segurança para contas com privilégios

Operações de segurança para o Privileged Identity Management

Operações de segurança para dispositivos

Operações de segurança para infraestrutura